آموزش و معرفی HSTS چیست و چطور آن را فعال کنیم ؟
- آموزش • آموزش وردپرس
- ۲۸ مهر ۱۴۰۲
- 2,477 بازدید
امروزه برای حفظ امنیت هر چیزی ، سعی میکنیم که کارهای سختی رو انجام بدیم . اما به نظرم همون کارهای سخت مانند HSTS رو میشه به آسانی انجام داد . توی این مقاله قراره راجب HSTS صحبت کنیم و بگیم که به چه شکلی میشه امنیت رو برای سایت وردپرسی افزایش داد . راهکارهای بسیاری برای افزایش امنیت در وردپرس وجود داره که ما قراره راجب HTTP Strict Transport Security صحبت کنیم . برای کسب اطلاعات بیشتر ، پیشنهاد میکنم که وبیت رو تا انتهای این مقاله همراهی کنید و اگر سوال یا ابهامی داشتید ، از قسمت نظرات کاربران با ما به اشتراک بگذارید .
اگر هنوز نمیدانید که HTTP Strict Transport Security چی هست ، ادامه مقاله رو با ما همراه باشید . باید بدانید که اگر بروی وبسایت خود از https استفاده میکنید، بهتر است برای افزایش امنیت سایت خود حتما HSTS را فعال کنید. خیلی ساده اگر بخوام بگم ، HSTS به معنای HTTP Strict Transport Security هست و به شما اجازه میدهد با حملات man-in-the-middle مقابله کنید. شاید کمی سخت شد. در ادامه بیشتر با هم بحث خواهیم کرد .
آنچه در این پست میخوانید
HTTP Strict Transport Security چیست و چگونه کار میکند
هنگامی که شما بروی وبسایت خود SSL نصب میکنید، باید در تنظیمات سایتتون آدرس را به https تغییر دهید. در نتیجه برای باز کردن سایتتان، اگر آدرس سایت را به صورت http://vebeet.com در مرورگر وارد کنید، بهصورت خودکار به https://vebeet.com منتقل خواهید شد. این انتقال توسط درخواستی که از سمت وب سرور شما برای مرورگر ارسال میشود، صورت خواهد گرفت. اما اگر خود مرورگر با دیدن آدرس سایت شما، این انتقال را در آینده انجام دهد بهتر نیست؟ قطعا این روش بسیار بهتر است. برای اینکار از HSTS استفاده میکنیم.
فعال کردن HSTS در وردپرس
برای اینکه HSTS رو در سایت وردپرسی خودتون فعال کنید ، باید یک هدر جدید در درخواستهای سمت سرور برای مرورگر کاربر ارسال شود. برای اینکار کافیست بسته به وب سرور سایت خود از این دو روشی که قراره بیان کنیم ، استفاده کنید.
فعالسازی در وب سرور آپاچی و لایت اسپید
برای فعالسازی HSTS در وب سرور آپاچی و لایت اسپید، کافیست وارد فایل منیجر هاست خود شوید. فایل منیجر هاست در سی پنل و دایرکت ادمین با نام FileManager در دسترس است. بعد از ورود به فایل منیجر، وارد پوشه public_html شوید. سپس فایل .htaccess را ویرایش کرده و کد زیر را در این فایل قرار دهید. در نهایت هم فایلی که کد زیر رو در آن قرار دادید را ذخیره کنید. حال مشاهده میکنید که سایت شما بهصورت خودکار از http به https ریدایرکت میشود. حتی قبل از اینکه درخواست به وب سرور ارسال شود.
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000;preload" env=HTTPS </IfModule>
فعال کردن HTTP Strict Transport Security در وب سرور NGINX
از طرفی باید بگم که اگر وب سروری که از آن استفاده میکنید ، انجین ایکس است ، قضیه کمی متفاوت تره ! تقریبا ۱ درصد سایتهای ایرانی از NGINX استفاده میکنند. به احتمال زیاد شما باید از روش قبلی استفاده کنید. اما در هر صورت اگر سرور مجازی یا اختصاصی دارید و وب سرور شما NGINX هست، کافیست فایل nginx.conf را در وب سرور خود پیدا کنید، سپس کد ” add_header Strict-Transport-Security “max-age=63072000 ” را در Virtual Server مخصوص سایت خود اضافه کنید.
از کجا متوجه شویم که HSTS فعال شده است ؟
گاهی اوقات ، برخی کاربران مراحل بالا رو که در وبیت توضیح دادیم ، انجام می دهند . اما مطمئن نیستند که HSTS براشون فعال شده یا نه ! برای اطمینان از فعال بودن HTTP Strict Transport Security روی سایت شما، کافیست وارد سایت https://gf.dev/hsts-test شوید . در نهایت با وارد کردن آدرس سایت خود بروی گزینه تست کلیک کنید. این سایت وضعیت فعال بودن HSTS روی سایت شما را بررسی خواهد کرد. رابط کاربری این وبسایت بسیار ساده است و معمولا به راحتی متوجه فعال بودن HTTP Strict Transport Security بروی وبسایت تان خواهید شد .